Более 44 млн пользователей из 3 млрд используют один пароль для всех личных аккаунтов. Об этом говорится в исследовании Microsoft Security Intelligence Report

С января по март 2019 года Microsoft проверила более 3 млрд учетных данных, полученных из различных источников, включая общедоступные базы данных. Целью исследования стал поиск скомпрометированных учетных данных в системах Microsoft. Результаты исследования показали, что более чем в 44 млн случаев пользователи устанавливали один и тот же пароль для Azure AD и служб Microsoft. Если в руки злоумышленников попадает одна подобная пара логин-пароль, то в 30% случаев подобрать частично измененный пароль (например, с добавлением порядкового номера) к другим учетным записям можно не более чем с десяти попыток, что может быть использовано для атак на облачные сервисы, DDoS-атак, рассылки фишинговых писем или майнинга криптовалют, предупреждают авторы исследования. Согласно аналогичному исследованию 2018 г., проведенному Политехническим университетом Виргинии, из 30 млн пользователей 52% пренебрегали правилами безопасности и использовали один и тот же или частично измененный пароль. В 2019 г. число подобных пользователей снизилось, но цифры все еще остаются внушительными. "Обнаружив совпадения в учетных данных, мы принудительно производим сброс пароля и при следующем входе просим пользователя задать новый. Никаких дополнительных действий со стороны пользователя не требуется. В случае с корпоративными доступами Microsoft уведомляет администратора о рисках и возможных последствиях таких действий. Исследование Microsoft Security Intelligence Report также показало, что 99,9% атак на аккаунты были предотвращены путем включения многофакторной аутентификации, которая является важным инструментом безопасности", - отмечает руководитель программ информационной безопасности Microsoft в странах Центральной и Восточной Европы Артем Синицын. Ситуация действительно пугающая, несмотря на просветительские меры и повторяющиеся целевые публикации на эту тематику, сетует пресс-секретарь Dr. Web Максим Якушев. "Повторяющиеся пароли - это беда и отсутствие понимания об элементарных правилах информационной безопасности. Тем не менее, пользователи продолжают использовать старые/простые или "универсальные" пароли для доступа к разнообразным аккаунтам. Но одной лишь мерой создания для каждого ресурса своего уникального пароля можно не обойтись. В идеале пароль не должен вообще нигде храниться", - рассуждает он. Представитель Dr. Web не советует использовать личную информацию при составлении пароля и очевидные и простые слова. "Пароль должен состоять из 8 и более символов в разном регистре и со специальными символами. Обязателен к установке и антивирус на устройстве, чтобы первый попавшийся троянец не смог утащить ваши пароли в сети злоумышленников", - сказал Максим Якушев. Директор по консалтингу ГК InfoWatch Мария Воронова поделилась личными рекомендациями в части подхода к управлению паролями. Для всех критичных ресурсов (ГосУслуги, электронный банкинг, сайты с бонусными программами, социальные сети и т.д.) обязательно иметь отдельные сложные пароли, советует Мария Воронова. Для тех ресурсов, через которые может быть получен доступ к критичным ресурсам, например, восстановление пароля электронного банкинга через аккаунт электронной почты – также должен быть задан сложный пароль. Кроме того, продолжает специалист InfoWatch, крайне важно применять многофакторные механизмы аутентификации для сброса пароля (например, электронная почта и смс- или push-сообщение с одноразовым паролем на номер телефона). Что касается остальных - некритичных ресурсов (подавляющее большинство интернет-магазинов без хранения персональных и платежных данных, новостные сайты, развлекательные ресурсы и т.п.) - допустимо использовать один пароль, возможно даже не слишком сложный, отмечает Мария Воронова. "Многие сервисы сейчас предлагают "сквозную аутентификацию" - использование аккаунта от соцсети или почты для входа в интернет-магазин и т.п. и так далее. Удобно с точки зрения минимизации количества учетных данных, которые требуется запомнить, но в то же время мой личный "параноик" применять учетные данные от критичных ресурсов для входа в некритичные не позволяет", - делится своим опытом специалист InfoWatch. Чтобы избежать утечек и краж данных, руководитель офиса Wi-Fi+AutoID компании "Первый Бит" Александр Пушкарев порекомендовал компаниям использовать оборудование enterprise-класса для построения Wi-Fi-сети. "У такого оборудования высокий уровень защиты. Также не стоит забывать и про профессиональные программы по информационной безопасности. Например, программно-аппаратные продукты Fortinet и Check Point. Эти компании лидеры квадрата Gartner, - перечисляет Александр Пушкарев. - Для крупных предприятий будет выгодно построить у себя сетевую фабрику. Этот подход подразумевает создание сети, которая объединяет несколько систем на одном облачном сервере". Ссылка на источник